چشمانداز ژئوپلیتیکی در حال تحول بر امنیت سایبری اروپا در سال جاری تأثیر گذاشته است و چالشهای خاصی را برای حفاظت از زیرساختهای حیاتی و دادههای حساس ایجاد کرده است.
جنگ اوکراین و درگیری در غزه منجر به افزایش هکتیویسم شده است و باندهای باج افزار در سرمایه گذاری سریع بر روی آسیب پذیری های حیاتی جدید برای دسترسی اولیه به بسیاری از سازمان ها برتری یافته اند.
این امر با دسترسی بیشتر بازیگران تهدید به ابزارهای مختلف اتوماسیون تشدید میشود، خواه جعبه ابزار فرمان و کنترل (C2)، هوش مصنوعی مولد (GenAI) برای حمایت از تلاشهای فیشینگ خود، یا باجافزار تجاری در دسترس از دارک وب. .
به گفته Max Heinemeyer، مدیر تولید Darktrace، این بدان معناست که زیرساخت های حیاتی بیش از هر زمان دیگری در تیررس مهاجمان قرار دارد.
او میگوید: «خوشحال است که بخشهای مختلف قوانین، از جمله دستورالعمل NIS2 اروپا، و همچنین قوانین محلی، مانند قانون امنیت فناوری اطلاعات 2.0 در آلمان، در چند سال گذشته، تأیید میکنند.»
هکتیویسم و زیرساخت های حیاتی
La درگیری در اوکراین در اوایل سال، با تهدید حملات سایبری دولت-ملت و ضد حملات به طور بالقوه فرار از صحنه جنگ به داخل اکوسیستم سایبری گسترده تر اروپاGareth Lindahl-Wise، CISO در Ontinue می گوید.
او میگوید: «زیرساختهای حیاتی هم برای اهداف تبلیغاتی و هم برای اخلال واقعی یک هدف باقی خواهند ماند. دادههای حساس به طور فعال برای مزیت نظامی عملیاتی، اهداف اخاذی جنایی، و همچنین برای منافع ملی-دولتی و تجاری جستجو خواهند شد.»
آژانس اتحادیه اروپا برای امنیت سایبری (ENISA)، آژانس اتحادیه اروپا که برای دستیابی به سطح بالایی از امنیت سایبری در سراسر اروپا اختصاص دارد، تجزیه و تحلیل سالانه تهدیدات امنیت سایبری را انجام می دهد و نتایج یافته های خود را در خود منتشر می کند. گزارش "منظره تهدید"..
به گفته لورا هووینک، سخنگوی ENISA، آژانس تقریباً 2,580 حادثه را در دوره گزارش از ژوئیه 2022 تا ژوئن 2023 ثبت کرده است.
او میگوید: «به این مجموع باید 220 حادثه را اضافه کرد که به طور خاص دو یا چند کشور عضو اتحادیه اروپا را هدف قرار میدهند. در بیشتر موارد، تهدیدهای اصلی ممکن است با ترکیبی از اهداف، مانند سود مالی، اختلال، جاسوسی، تخریب، یا ایدئولوژی در مورد هکتیکیسم ایجاد شوند.
La دستورالعمل NIS2 متن شامل مقرراتی برای افزایش الزامات امنیت سایبری برای خدمات دیجیتال مورد استفاده در بخشهای حیاتی اقتصاد و جامعه، از جمله بخشهایی مانند مدیریت زباله و تولید است.
کار ترکیبی و چالش های امنیتی آن
Darktrace می گوید، تحول دیجیتال به پیچیدگی فزاینده ای برای مدافعان منجر شده است، زیرا در چند سال گذشته افزایش قابل توجهی در کار از راه دور و ترکیبی، سیاست های دستگاه خود (BYOD)، پذیرش چند ابری و روندهای صنعت 4.0 همراه با زنجیره های تامین دیجیتالی بیشتر را به همراه داشته است. هاین مایر.
او میگوید: «در بالای این پیچیدگیها، چالش واقعی پیش روی سازمانها است. درک خطرات آنها و دانستن آنچه باید از آنها دفاع کنند را به طور فزاینده ای دشوار می کند.
این پیچیدگی به سرعت توسط بازیگران تهدید مورد استفاده قرار می گیرد، که به طور مداوم به دنبال نفوذ به سازمان ها از طریق فیشینگ هدفمند، آسیب پذیری های اینترنت، و مصالحه در زنجیره تامین هستند.
هاینمیر میگوید: «سازمانها با استفاده از هوش مصنوعی برای شکستن این پیچیدگی و شناسایی فعالیتهای غیرعادی در مراحل اولیه، و با تثبیت دید در شیشههای کمتر، سازگار میشوند.
تأثیر و اجرای GDPR
اندرو بارت، معاون رئیس شرکت Coalfire، میگوید که مقررات عمومی حفاظت از دادهها (GDPR) - یک قانون جامع حفاظت از دادهها که توسط اتحادیه اروپا در ماه مه 2018 اجرا شد - واقعاً به یک "چکش سخت" نظارتی تبدیل شده است و مجازاتهای چند میلیون یورویی صادر شده است.
" خدمات دیجیتال و قوانین بازار دیجیتال او میگوید که قصد ایجاد زمینههای بازی برابر را دارند، اما گاهی اوقات بهعنوان ضربههایی در شرکتهای فناوری بزرگ، عمدتاً مستقر در ایالات متحده، دیده میشوند، که اتحادیه اروپا هیچ واکنش واقعی برای آنها ندارد و احتمالاً در حال از دست دادن زمین به چین است.»
Lindahl-Wise از Ontinue میگوید GDPR بدون شک تمرکز و انرژی قابلتوجهی را در افرادی که کارمندان عملکردهای امنیتی را کار میکنند برای درک بهتر دادههایی که در اختیار دارند، کجا هستند، چگونه ایمن میشوند و با چه کسانی به اشتراک گذاشته میشود، هدایت کرده است.
او میگوید: «خارج از عناصر «رضایت» و «حق استفاده»، اینها باید از همان ابتدا پایههای اصلی امنیت دادهها باشند. این خطر وجود دارد که دادههای حساس تجاری و در عین حال غیر PII به عنوان یکی از بستگان ضعیف در اولویتبندی باقی بمانند.»
یوخن میشلز، رئیس امور عمومی در اروپا برای کسپرسکی میگوید در سالهای اخیر، اتحادیه اروپا اقدامات متعددی را برای تقویت امنیت سایبری در اروپا به شیوهای پایدار انجام داده است.
برخی از مثالها شامل دستورالعمل NIS2 فوقالذکر است، یک قانون در سراسر اتحادیه اروپا که اقداماتی را برای سطح بالایی از امنیت سایبری در سراسر اتحادیه انجام میدهد. این قانون تاب آوری سایبریکه هدف آن حفاظت از مصرفکنندگان و کسبوکارهایی است که از محصولات دیجیتال استفاده میکنند، در حال حاضر در دست مذاکره است اما انتظار میرود در اوایل سال 2024 اجرایی شود.
از دیگر تلاشها میتوان به ایجاد آکادمی مهارتهای امنیت سایبری اروپا و مرکز صلاحیت امنیت سایبری اروپا و همچنین توسعه طرحهای امنیت سایبری اروپا، چارچوب صدور گواهینامه جامع اشاره کرد.
میشلز میگوید: «این ابتکارات عمدتاً بر جنبههایی مانند امنیت زنجیره تأمین، شفافیت، امنیت از طریق طراحی و مهارتسازی و آموزش متمرکز هستند».
Heinemeyer می افزاید، در حالی که GDPR منجر به بررسی فزاینده در مورد حریم خصوصی داده ها و پردازش داده ها شده است - به عنوان مثال، چه کسی از داده های ما استفاده می کند، کجا و برای چه هدفی - NIS2 سازمان های اروپایی را به افزایش قابل توجهی بلوغ سایبری خود سوق می دهد.
او توضیح می دهد: «NIS2 موضوع اصلی کنفرانس های امنیتی اروپا در سال جاری، مانند ITSA که در نورنبرگ، آلمان برگزار شد، بوده است. «سازمانها برای اقدام و همگام شدن با رعایت فشار احساس میکنند.»
ایمن سازی امنیت AI/ML
میشلز خاطرنشان می کند که اتحادیه اروپا از طریق قانون هوش مصنوعی اتحادیه اروپا، که در حال حاضر در مذاکرات سه گانه است، به خطرات بالقوه امنیت سایبری ناشی از GenAI و AI / یادگیری ماشینی واکنش نشان داده است. توافق بر سر این قانون و تصویب آن، حداقل به طور آزمایشی، تا پایان سال 2023 انتظار می رود.
میشلز توضیح میدهد: «در آن قانون، امنیت سایبری به عنوان یک عنصر مهم از الزامات برای اطمینان از قابل اعتماد بودن سیستمهای هوش مصنوعی پرخطر ذکر شده است. علاوه بر این، چندین ابتکار در زمینه هوش مصنوعی و امنیت سایبری وجود دارد.
برای مثال، ENISA روی نقشهبرداری اکوسیستم امنیت سایبری هوش مصنوعی و ارائه توصیههای امنیتی برای چالشهایی که پیشبینی میکند، کار میکند. این آژانس همچنین منتشر کرد گزارش "هوش مصنوعی و تحقیقات امنیت سایبری".، که با هدف شناسایی نیاز به تحقیق در مورد استفاده از امنیت سایبری از هوش مصنوعی و در مورد ایمن سازی هوش مصنوعی است.
هیوینک از ENISA می گوید: «در همان زمان، قانونگذاران مقرراتی را در این زمینه بر اساس ارزیابی ریسک پیشنهاد کرده اند.
به طور خاص، قانون پیشنهادی هوش مصنوعی اتحادیه اروپا الزامات امنیت سایبری را برای سیستمهای هوش مصنوعی پرخطر برای اطمینان از انطباق، شناسایی خطرات و اجرای اقدامات امنیتی لازم پیشبینی میکند.
او می افزاید: «ارزیابی ریسک امنیتی باید با در نظر گرفتن طراحی سیستم و هدف مورد نظر آن انجام شود».
هووینک خاطرنشان می کند که دو جنبه مختلف در مورد تأثیر امنیت سایبری هوش مصنوعی وجود دارد. از یک سو، هوش مصنوعی می تواند برای دستکاری نتایج مورد انتظار مورد سوء استفاده قرار گیرد. به عنوان مثال، هوش مصنوعی در ماشین آگاهی سایبری باز ENISA استفاده میشود که به طور خودکار اطلاعات مربوط به امنیت سایبری و حوادث سایبری را از منابع باز جمعآوری، طبقهبندی و ارائه میکند.
از سوی دیگر، تکنیکهای هوش مصنوعی میتوانند برای پشتیبانی از عملیات امنیتی استفاده شوند - اما این میتواند خطراتی را به همراه داشته باشد.
او میگوید: «سوالات مطرحشده توسط هوش مصنوعی به ظرفیت ما برای ارزیابی تأثیر آن، نظارت و کنترل آن برمیگردد، تا بتوانیم سایبر هوش مصنوعی را ایمن و قوی کنیم تا پتانسیل کامل آن آشکار شود».
از دیدگاه او، اهمیت امنیت سایبری و حفاظت از داده ها در هر بخش از اکوسیستم هوش مصنوعی برای ایجاد فناوری قابل اعتماد برای کاربران نهایی غیرقابل انکار است.
هووینک میگوید: «اگر بخواهیم قابلیت اطمینان، قابلیت اطمینان و استحکام سیستمهای هوش مصنوعی را تضمین کنیم، امنیت سایبری داده میشود، در حالی که امکان افزایش پذیرش کاربر، استقرار قابل اعتماد سیستمهای هوش مصنوعی و انطباق با مقررات را فراهم میکند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyber-risk/europe-hacktivism-gdpr-new-security-laws-ahead-2024